Seminar MISP CTI-Workflows, Taxonomien und Galaxies

Seminarziel

Dieses Seminar konzentriert sich auf die fachliche Arbeit mit Cyber Threat Intelligence in MISP. Behandelt wird, wie Informationen aus Vorfällen, Analysen und externen Meldungen in eine strukturierte, suchbare und teilbare Form gebracht werden.

Die Inhalte verbinden klassische Analystenarbeit mit sauberem Datenmodell. Ziel ist, Ereignisse nicht nur abzuspeichern, sondern verwertbar, prüfbar und für andere Teams verständlich zu dokumentieren.

Inhalte

• Event-Struktur, Attribute, Objekte, Relationen, Reports und die Abgrenzung technischer und fachlicher Informationen
• Tagging-Strategien mit Taxonomien für Vertraulichkeit, Verlässlichkeit, Relevanz und Bearbeitungsstatus
• Einsatz von Galaxies zur Kontextualisierung von Akteuren, Kampagnen, Werkzeugen, Techniken und Infrastrukturen
• Korrelationen, False Positives, Warninglists, Sightings und Qualitätskriterien für verwertbare Indikatoren
• Analyse-Workflows von der Rohinformation über die Bewertung bis zur Freigabe und Weitergabe
• Aufbau aussagekräftiger Reports mit Bezug zu maschinenlesbaren Attributen und Objekten
• Namenskonventionen, Pflichtfelder, Review-Regeln und schlanke Governance für Analystenteams

Praktische Übungen

1. Ein Event aus Rohinformationen modellieren und technische Indikatoren korrekt erfassen
2. Taxonomien und Galaxies für Kontext, Vertraulichkeit und Bewertungsstatus anwenden
3. Objekte und Relationen nutzen, um komplexere Zusammenhänge sauber darzustellen
4. Korrelationen prüfen, irrelevante Treffer einordnen und Datenqualität verbessern
5. Einen kurzen Analystenbericht erstellen und mit den zugehörigen Attributen verknüpfen

Zielgruppe

Das Seminar richtet sich an Analysten und Response-Teams, die MISP als Arbeitsplattform für strukturierte Threat Intelligence nutzen wollen.

Voraussetzungen

Erwartet wird grundlegendes Verständnis von IoCs, Vorfallanalyse und Sicherheitsoperationen. Programmierkenntnisse sind für dieses Seminar nicht notwendig.